【文章內(nèi)容簡介】 型的基礎(chǔ)上進(jìn)行建模，系統(tǒng)實(shí)時(shí)檢測用戶對(duì)系統(tǒng)的使用情況與保存的概率統(tǒng)計(jì)模型進(jìn)行比較，當(dāng)發(fā)現(xiàn)有可疑的用戶行為發(fā)生時(shí)，保持跟蹤并檢測與記錄該用戶的行為。 (2)基于神經(jīng)網(wǎng)絡(luò)的分析方法 這種方法對(duì)用戶的行為具有自學(xué)習(xí)和自適應(yīng)的能力，能夠根據(jù)實(shí)際檢測到的信息有效地加以處理并做出入侵可能性的判斷。但該方法尚不成熟，也沒有較完善的入侵檢測系統(tǒng)出現(xiàn)。 (3)基于專家系統(tǒng)的分析方法 這種方法根據(jù)安全專家對(duì)可疑行為的分析經(jīng)驗(yàn)建立一套推理規(guī)則，在此基礎(chǔ)上建立相應(yīng)的專家系統(tǒng)，從而自動(dòng)對(duì)所涉及的入侵行為進(jìn)行分析與檢測。該方法可隨著經(jīng)驗(yàn)的積累和利用自學(xué)習(xí)功能進(jìn)行規(guī)則的擴(kuò)充和修正。這種方法目前在大部分的入侵檢測系統(tǒng)中得到應(yīng)用2 Snort簡介 Snort系統(tǒng)是一個(gè)以開放源代碼的形式發(fā)行的網(wǎng)絡(luò)入侵檢測系統(tǒng)，由Martin Roesch編寫，并由遍布在世界各地的眾多程序員共同維護(hù)和升級(jí)。Snort運(yùn)行在Libpcap庫函數(shù)的基礎(chǔ)之上，系統(tǒng)代碼遵循GNU/GPL協(xié)議。它是一個(gè)輕量級(jí)的網(wǎng)絡(luò)入侵檢測系統(tǒng)。這里所謂的輕量級(jí)是指在檢測時(shí)盡可能低地影響網(wǎng)絡(luò)的正常操作，一個(gè)優(yōu)秀的輕量級(jí)的網(wǎng)絡(luò)入侵檢測系統(tǒng)應(yīng)該具備跨系統(tǒng)平臺(tái)操作，對(duì)系統(tǒng)影響最小等特征，并且管理員能夠在短時(shí)間內(nèi)通過修改配置進(jìn)行實(shí)時(shí)的安全響應(yīng),更為重要的是能夠成為整體安全結(jié)構(gòu)的重要成員。Snort作為網(wǎng)絡(luò)入侵檢測系統(tǒng)中的典型范例，首先它可以運(yùn)行在多種操作系統(tǒng)平臺(tái)之上，例如UNIX系列和Windows (需要 1ibpcap for win32Winpcap的支持)，與很多商業(yè)產(chǎn)品相比，它對(duì)操作系統(tǒng)的依賴性比較低。其次用戶可以根據(jù)自己的需要及時(shí)在短時(shí)間內(nèi)調(diào)整檢測策略。就檢測攻擊的種類來說，Snort檢測規(guī)則包括對(duì)緩沖區(qū)溢出，端口掃描和CGI攻擊等等。另外，Snort還可以作為數(shù)據(jù)包嗅探器和數(shù)據(jù)包記錄器使用 。Snort有三種工作模式：嗅探器、數(shù)據(jù)包記錄器、網(wǎng)絡(luò)入侵檢測系統(tǒng)。嗅探器模式僅僅是從網(wǎng)絡(luò)上讀取數(shù)據(jù)包并作為連續(xù)不斷的流顯示在終端上。數(shù)據(jù)包記錄器模式把數(shù)據(jù)包記錄到硬盤上。網(wǎng)路入侵檢測模式是最復(fù)雜的，而且是可配置的。我們可以讓snort分析網(wǎng)絡(luò)數(shù)據(jù)流以匹配用戶定義的一些規(guī)則，并根據(jù)檢測結(jié)果采取一定的動(dòng)作。 Snort系統(tǒng)工作原理 Snort作為一個(gè)基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)(NIDS)，在基于共享網(wǎng)絡(luò)上檢測原始的網(wǎng)絡(luò)傳輸數(shù)據(jù)，通過分析捕獲的數(shù)據(jù)包，匹配入侵行為的特征或者從網(wǎng)絡(luò)活動(dòng)的角度檢測異常行為，進(jìn)而采取入侵的告警或記錄。從檢測模式而言，Snort屬于是誤用檢測，即對(duì)已知攻擊的特征模式進(jìn)行匹配。從本質(zhì)上來說，Snort是基于規(guī)則檢測的入侵檢測工具，即針對(duì)每一種入侵行為，都提煉出它的特征值并按照規(guī)范寫成檢驗(yàn)規(guī)則，從而形成一個(gè)規(guī)則數(shù)據(jù)庫。其次將捕獲得數(shù)據(jù)包按照規(guī)則庫逐一匹配，若匹配成功，則認(rèn)為該入侵行為成立。入侵行為主要是指對(duì)系統(tǒng)資源的非授權(quán)使用,可以造成系統(tǒng)數(shù)據(jù)的丟失和破壞、系統(tǒng)拒絕服務(wù)等危害。對(duì)于入侵檢測而言的網(wǎng)絡(luò)攻擊可以分為4類：①檢查單IP包（包括TCP、UDP）首部即可發(fā)覺的攻擊,如winnuke、ping of death、部分OS detection、source routing等。②檢查單IP包,但同時(shí)要檢查數(shù)據(jù)段信息才能發(fā)覺的攻擊,如利用CGI漏洞,緩存溢出攻擊等。③通過檢測發(fā)生頻率才能發(fā)覺的攻擊,如端口掃描、SYN Flood、smurf攻擊等。④利用分片進(jìn)行的攻擊,如teadrop,nestea,jolt等。此類攻擊利用了分片組裝算法的種種漏洞。若要檢查此類攻擊,必須提前（在IP層接受或轉(zhuǎn)發(fā)時(shí),而不是在向上層發(fā)送時(shí)）作組裝嘗試。分片不僅可用來攻擊,還可用來逃避未對(duì)分片進(jìn)行組裝嘗試的入侵檢測系統(tǒng)的檢測。入侵檢測通過對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并進(jìn)行分析,從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。進(jìn)行入侵檢測的軟件與硬件的組合就是入侵檢測系統(tǒng)。入侵檢測系統(tǒng)執(zhí)行的主要任務(wù)包括：監(jiān)視、分析用戶及系統(tǒng)活動(dòng)；審計(jì)系統(tǒng)構(gòu)造和弱點(diǎn)；識(shí)別、反映已知進(jìn)攻的活動(dòng)模式,向相關(guān)人士報(bào)警；統(tǒng)計(jì)分析異常行為模式；評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性；審計(jì)、跟蹤管理操作系統(tǒng),識(shí)別用戶違反安全策略的行為。入侵檢測一般分為3個(gè)步驟,依次為信息收集、數(shù)據(jù)分析、響應(yīng)（被動(dòng)響應(yīng)和主動(dòng)響應(yīng)）。信息收集的內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為。入侵檢測利用的信息一般來自系統(tǒng)日志、目錄以及文件中的異常改變、程序執(zhí)行中的異常行為及物理形式的入侵信息4個(gè)方面。數(shù)據(jù)分析是入侵檢測的核心。它首先構(gòu)建分析器,把收集到的信息經(jīng)過預(yù)處理,建立一個(gè)行為分析引擎或模型,然后向模型中植入時(shí)間數(shù)據(jù),在知識(shí)庫中保存植入數(shù)據(jù)的模型。數(shù)據(jù)分析一般通過模式匹配、統(tǒng)計(jì)分析和完整性分析3種手段進(jìn)行。前兩種方法用于實(shí)時(shí)入侵檢測,而完整性分析則用于事后分析?？捎?種統(tǒng)計(jì)模型進(jìn)行數(shù)據(jù)分析：操作模型、方差、多元模型、馬爾柯夫過程模型、時(shí)間序列分析。統(tǒng)計(jì)分析的最大優(yōu)點(diǎn)是可以學(xué)習(xí)用戶的使用習(xí)慣。入侵檢測系統(tǒng)在發(fā)現(xiàn)入侵后會(huì)及時(shí)作出響應(yīng),包括切斷網(wǎng)絡(luò)連接、記錄事件和報(bào)警等。響應(yīng)一般分為主動(dòng)響應(yīng)（阻止攻擊或影響進(jìn)而改變攻擊的進(jìn)程）和被動(dòng)響應(yīng)（報(bào)告和記錄所檢測出的問題）兩種類型。主動(dòng)響應(yīng)由用戶驅(qū)動(dòng)或系統(tǒng)本身自動(dòng)執(zhí)行,可對(duì)入侵者采取行動(dòng)（如斷開連接）、修正系統(tǒng)環(huán)境或收集有用信息；被動(dòng)響應(yīng)則包括告警和通知、簡單網(wǎng)絡(luò)管理協(xié)議（SNMP）陷阱和插件等。另外,還可以按策略配置響應(yīng),可分別采取立即、緊急、適時(shí)、本地的長期和全局的長期等行動(dòng)。 Snort系統(tǒng)的特點(diǎn) （1）Snort是一個(gè)輕量級(jí)的入侵檢測系統(tǒng)它雖然功能強(qiáng)大，但是代碼卻極為簡潔、短小，其源代碼壓縮包不到2兆。 （2）Snort的可移植性很好 Snort的跨平臺(tái)性能極佳，目前已經(jīng)支持Linux，Solaris，BSD，IRIX， HPUX，windows等系統(tǒng)。采用插入式檢測引擎，可以作為標(biāo)準(zhǔn)的網(wǎng)絡(luò)入侵檢測系統(tǒng)、主機(jī)入侵檢測系統(tǒng)使用；與Netfilter結(jié)合使用，可以作為網(wǎng)關(guān)IDS (Gateway IDS)等系統(tǒng)指紋識(shí)別工具結(jié)合使用，可以作為基于目標(biāo)的IDS(Target—based IDS)。 （3） Snort的功能非常強(qiáng)大 Snort具有實(shí)時(shí)流量分析和日志IP網(wǎng)絡(luò)數(shù)據(jù)包的能力。能夠快速地檢測網(wǎng)絡(luò)攻擊，及時(shí)地發(fā)出報(bào)警。Snort的報(bào)警機(jī)制很豐富，例如：syslog、用戶指定的文件、一個(gè)UNIX套接字，還有使用SAMBA協(xié)議向Windows客戶程序發(fā)出WinPopup消息。利用XML插件，Snort可以使用SNML(簡單網(wǎng)絡(luò)標(biāo)記語言， simple network markup language)把日志存放到一個(gè)文件或者適時(shí)報(bào)警。Snort能夠進(jìn)行協(xié)議分析，內(nèi)容的搜索/匹配?，F(xiàn)在Snort能夠分析的協(xié)議有TCP，UDP，ICMP等。將來，可能提供對(duì)ARP、ICRP、GRE、OSPF、 RIP、IPXIPX等協(xié)議的支持。它能夠檢測多種方式的攻擊和探測，例如：緩沖區(qū)溢出、秘密端口掃描、CGI攻擊、SMB探測、探測操作系統(tǒng)指紋特征的企圖等等。 Snort的日志格式既可以是Tcpdump式的二進(jìn)制格式，也可以解碼成ASCH字符形式，更加便于用戶尤其是新手檢查。使用數(shù)據(jù)庫輸出插件，Snort可以把日志記入數(shù)據(jù)庫，當(dāng)前支持的數(shù)據(jù)庫包括: Postagresql、MySQL、oraCle、任何UNIXODBC數(shù)據(jù)庫等。使用TCP流插件(TcpStream)，Snort可以對(duì)TCP包進(jìn)行重組。Snort能夠?qū)P包的內(nèi)容進(jìn)行匹配，但是對(duì)于TCP攻擊，如果攻擊者使用一個(gè)程序，每次發(fā)送只有一個(gè)字節(jié)的TCP包，完全可以避開Snort的模式匹配。而被攻擊的主機(jī)的TCP協(xié)議棧會(huì)重組這些數(shù)據(jù)，將其送給在目標(biāo)端口上監(jiān)聽的進(jìn)程，從而使攻擊包逃過Snort的監(jiān)視。使用TCP流插件，可以對(duì)TCP包進(jìn)行緩沖，然后進(jìn)行匹配，使Snort具備了對(duì)付上面這種攻擊的能力。使用SPADE(Statistical Packet Anomaly Detection Engine)插件，Snort能夠報(bào)告非正常的可疑包，從而對(duì)端口掃描進(jìn)行有效的檢測。 4 ) 擴(kuò)展性能較好，對(duì)于新的攻擊威脅反應(yīng)迅速 作為一個(gè)輕量級(jí)的網(wǎng)絡(luò)入侵檢測系統(tǒng)， Snort有足夠的擴(kuò)展能力。它使用一種簡單的規(guī)則描述語言。最基本的規(guī)則只是